フィッシング関連の話題

日本ベリサイン、EV SSL対応サーバー証明書の発行を開始 - ITpro

ベリサインも、EV SSLサーバ証明書の発行を開始したそうです。

日本ベリサインは2007年3月28日、EV SSL対応のサーバー証明書の発行を開始した。価格は17万100円から。
(略)
従来のサーバー証明書は、認証局によって発行手続きが異なっており、企業や団体の実在性を厳密に確認して発行されるものと、比較的簡単な手続きで発行されるものがあった。このため、比較的容易に取得できるサーバー証明書を悪用したフィッシングサイトが出現した。

ベリサインのページを見ましたが、EV SSL証明書の取得のためには、登記簿謄本原本と印鑑登録証明の提出が必須で、場合により訪問調査や弁護士の意見書を求めたりもするそうです。

価格は17万100円です。ベリサインの普通の証明書が8万5000円くらいですから、その2倍です(そもそも8万5000円というのもよそと比べて高い訳ですが)。まあ高い方が、犯罪者が取得する意欲を削ぐことができるので、むしろいいのかもしれません。

技術とかよりも、商品企画・マーケティング手法(普通の商品よりも高級で、手に入りにくい商品を売り出すという)として面白いなーなんて思ってしまいました。

なお、IEはVer.7以上、FirefoxはVer.3以上で、EV SSLに対応するようです。

産総研:主な研究成果 抜本的なフィッシング詐欺防止技術を開発

これまでもプラグインを使った商用のフィッシング防止技術はいくつかありました。産総研のは、仕様をオープンにして標準化・普及をはかっていくという点で、これまでのものとは異なるようです(もちろん使っている技術方式も違うのでしょうが)。

思ったことをつらつらと書きます。

  • ロードマップを見ると2008年頃に「研究としては終わり」になりそうにみえるが、その後の標準化・普及は大丈夫だろうか(普及して欲しいのだけど)。
  • アクセスしているサイトの真偽は、パスワードを入力した後に判る。これまでの「重要な情報を入力する前にURLを確認する」という定石と少々異なる形となる。
  • 資料に書かれている中間者攻撃対策(yafuu.co.jpのような偽サイトが正規サイトのプロキシになる攻撃への対策)は、基本的にSSLで力を発揮するものなのだろう。
  • 攻撃者はツールバーを消したりできないのだろうか(アドレスバーは最近のブラウザでは消せないはずだけど)。